PHẦN 2 GRU Unit 26165 – Hành trình của một đơn vị tấn công mạng từ 2014 đến nay

By
Hoang
-
0
25
Cảnh sát Thái Lan đã chia sẻ đoạn phim ghi lại cảnh họ bắt giữ một điệp viên Nga bị tình nghi có liên quan đến hai vụ tấn công mạng lớn vào chiến dịch tranh cử của Hillary Clinton và vụ đầu độc Skripal bằng chất độc Novichok. Nguồn: East2West

Một phân tích điều tra của VietnamWeek

Trong mọi tài liệu mật vừa được giải mật, cái tên Unit 26165 luôn xuất hiện cạnh hàng loạt mật danh khác nhau: Fancy Bear, APT28, Sofacy, Pawn Storm. Nhưng dù gọi bằng tên nào, các cơ quan tình báo phương Tây đều đồng thuận:

Đây là lõi cứng về tác chiến mạng của GRU, chịu trách nhiệm cho chuỗi chiến dịch tấn công có sức ảnh hưởng lớn nhất của Nga trong thập kỷ qua. (Atlantic Council)

Đơn vị này được cho là đặt tại 20 Komsomolsky Prospekt, Moscow, thuộc Trung tâm Dịch vụ Đặc biệt số 85 (GTsSS) – cơ quan chuyên trách chiến tranh mạng của GRU. (Wikipedia)

Dưới đây là bức tranh tổng quan các hoạt động lớn của Unit 26165 từ 2014 đến nay – không phải danh sách đầy đủ, nhưng là những mốc đủ để hiểu phạm vi, chiến thuật và mức độ nguy hiểm của đơn vị mà Lukashev bị cáo buộc là thành viên.

1. 2014–2015: Từ Crimea tới Bundestag – “khai hoả” chiến tranh mạng

1.1. Bối cảnh Ukraine và NATO

Sau khi Nga sáp nhập Crimea (2014), các hãng bảo mật đã quan sát thấy nhóm APT28/Fancy Bear tăng cường tấn công:

  • Bộ Quốc phòng Ukraine, NATO, các think tank an ninh châu Âu
  • Các cơ quan ngoại giao liên quan đến trừng phạt Nga

Các chiến dịch sớm này đặt nền móng cho mô hình của Unit 26165: spear-phishing tinh vi, zero-day trên Windows/Office, mã độc tùy chỉnh, và chiến dịch theo dõi kéo dài (APT). (Wikipedia)

1.2. Tấn công Đài TV5Monde – “thử nghiệm phá hoại trực tiếp”

Năm 2015, kênh truyền hình Pháp TV5Monde bị tê liệt phát sóng, ban đầu được cho là do IS. Mãi đến 2025, chính phủ Anh mới chính thức quy trách nhiệm cho Unit 26165, coi đây là một trong những ví dụ sớm nhất về tấn công nhằm phá hoại hạ tầng truyền thông phương Tây. (GOV.UK)

1.3. Vụ hack Quốc hội Đức (Bundestag)

Tháng 4–5/2015, Quốc hội Liên bang Đức bị tấn công: hệ thống email tê liệt nhiều ngày, dữ liệu lớn bị đánh cắp, bao gồm cả hộp thư của Thủ tướng Angela Merkel. EU sau đó quy vụ việc cho Unit 26165 và áp đặt trừng phạt vào năm 2020, 2024. (GOV.UK)

Đây là chiến dịch mẫu mực: spear-phishing mạo danh Liên Hợp Quốc, chuỗi lừa “Ukraine conflict with Russia leaves economy in ruins”, cài đặt backdoor rồi âm thầm hút dữ liệu suốt nhiều tuần. (BankInfoSecurity)

2. 2016: Bầu cử Tổng thống Mỹ – chiến dịch “thay đổi lịch sử”

Tháng 7/2018, Công tố viên Đặc biệt Mueller công bố cáo trạng 12 sĩ quan GRU, tất cả thuộc Unit 26165 và Unit 74455, vì đã tấn công and can thiệp bầu cử Mỹ 2016. (Department of Justice)

Trong số đó có Aleksey Viktorovich Lukashev.

2.1. Cấu trúc chiến dịch

Theo cáo trạng: (Department of Justice)

  • Unit 26165 phụ trách xâm nhập – đánh cắp dữ liệu: DNC, DCCC, chiến dịch Clinton, các tình nguyện viên và nhà cố vấn.
  • Unit 74455 phụ trách rò rỉ và thao túng thông tin (Guccifer 2.0, DCLeaks, phối hợp Wikileaks).

Lukashev bị cáo buộc tham gia:

  • Đăng ký và quản lý các tên miền giả mạo (ví dụ: dcleaks.com)
  • Tấn công, xâm nhập các tài khoản email, VPN
  • Hợp thức hóa dòng tiền crypto phục vụ mua hosting, hạ tầng ẩn danh

2.2. Chiến thuật

Đây là chiến dịch hoàn chỉnh theo 3 bước:

  1. Do thám & xâm nhập – spear-phishing đội ngũ Clinton, DNC, đánh vào các trợ lý cấp thấp để leo thang.
  2. Đánh cắp – hút hàng chục ngàn email, tài liệu nhạy cảm.
  3. Phát tán chọn lọc – rò rỉ đúng thời điểm bất lợi cho Clinton, trộn lẫn tài liệu thật – giả để tối đa hoá hiệu ứng chính trị.

Kết quả không thể đo bằng một con số, nhưng ít nhất, nó đã thay đổi hoàn toàn môi trường thông tin của cuộc bầu cử Mỹ 2016.

3. 2016–2018: Từ thể thao đến vũ khí hoá học – “trả thù những ai đụng vào bí mật Nga”

Sau khi WADA công bố báo cáo McLaren bóc trần hệ thống doping quốc gia của Nga, Unit 26165 được giao một nhiệm vụ khác: trả đũa.

3.1. Vụ WADA, IOC và tổ chức thể thao quốc tế

Cáo trạng của Bộ Tư pháp Mỹ năm 2018 mô tả:

  • Unit 26165 tấn công WADA, IOC, IAAF (nay là World Athletics), các phòng thí nghiệm chống doping, cơ quan điều tra vũ khí hoá học, v.v.
  • Mục tiêu: đánh cắp tài liệu, bóp méo dữ liệu xét nghiệm, tung tài liệu chọn lọc để làm mất uy tín các vận động viên phương Tây, và phá hoại các cuộc điều tra doping của Nga. (Department of Justice)

3.2. “Close-Access Team” và vụ OPCW

Bộ Tư pháp Mỹ tiết lộ một điểm mới: ngoài “hacker từ xa”, Unit 26165 còn có đội tấn công “cận tiếp cận” – mang thiết bị tới tận hiện trường để cài đặt Wi-Fi rogue, anten, thiết bị thu trộm. (Department of Justice)

Điển hình:

  • 2018, Hà Lan: bốn sĩ quan GRU bị bắt quả tang trong bãi đậu xe của Tổ chức Cấm Vũ khí Hoá học (OPCW) khi đang cố hack mạng Wi-Fi để do thám cuộc điều tra vụ đầu độc Skripal và chương trình vũ khí hóa học Syria. (Department of Justice)

OPCW và WADA cho thấy một mục tiêu xuyên suốt:

Bất kỳ cơ quan quốc tế nào điều tra tội của nhà nước Nga đều trở thành đích nhắm.

4. 2017–2020: Châu Âu trong tầm ngắm – từ Macron đến Brexit

Theo hồ sơ GRU do chính phủ Anh công bố năm 2025: (GOV.UK)

Unit 26165 được quy trách nhiệm:

  • Rò rỉ email liên quan chiến dịch tranh cử của Emmanuel Macron trước vòng hai bầu cử tổng thống Pháp 2017 (MacronLeaks).
  • Tấn công các đảng phái, nghị sĩ, bộ máy bầu cử ở nhiều nước châu Âu.
  • Tiếp tục duy trì chiến dịch với Bundestag, quốc hội Na Uy, cơ quan ngoại giao Áo, v.v.

Anh sau đó áp đặt đóng băng tài sản và cấm nhập cảnh lên hai sĩ quan GRU và thẳng tay trừng phạt cả Unit 26165như một pháp nhân độc lập – một động thái hiếm hoi nhắm vào một đơn vị tình báo quân đội cụ thể. (GOV.UK)

5. 2022–nay: Chiến tranh Ukraine và “liên kết chết chóc” giữa tấn công mạng và oanh kích

Khi Nga mở cuộc xâm lược toàn diện Ukraine năm 2022, Unit 26165 chuyển sang một vai trò mới: do thám chiến trường và chuẩn bị mục tiêu cho pháo binh, tên lửa.

5.1. Do thám hậu cần – nhắm vào hậu phương NATO

Cơ quan an ninh mạng Mỹ CISA cảnh báo năm 2025: Unit 26165 dẫn một chiến dịch quy mô lớn tấn công các hãng logistics, công ty công nghệ, nhà thầu quốc phòng tại Mỹ và châu Âu – nhằm thu thập thông tin về hành trình vũ khí viện trợ Ukraine, kho quân trang, hạ tầng năng lượng. (CISA)

5.2. Từ “recon” đến oanh kích Mariupol

Ngày 18/7/2025, Anh công bố gói trừng phạt lớn nhất từ trước tới nay, nhắm vào 18 sĩ quan GRU3 đơn vị, trong đó có Unit 26165.

Lý do:

  • Các đơn vị này sử dụng công cụ do thám mạng để xác định toạ độ dân thường, cơ sở hạ tầng, từ đó hỗ trợ các cuộc tấn công tên lửa và không kích – điển hình là vụ ném bom Nhà hát Mariupol khiến khoảng 600 người chết năm 2022. (AP News)

Cùng ngày, Anh cũng công bố chi tiết mới:

  • Một nhóm sĩ quan thuộc Unit 26165 đã cài phần mềm gián điệp X-Agent vào điện thoại của Yulia Skripal từ nhiều năm trước vụ đầu độc năm 2018 – cho thấy sự kết hợp giữa do thám mạng và ám sát vật lý. (GOV.UK)

Ở đây, cái tên Lukashev lại xuất hiện: Anh chính thức liệt kê ông ta trong danh sách trừng phạt, mô tả là “thành viên Unit 26165 tham gia hoạt động mạng nhắm vào Yulia Skripal.” (search-uk-sanctions-list.service.gov.uk)

6. Chiến thuật chung: từ email đến “close-access” và chiến tranh phối hợp

Nhìn ngược lại chặng đường 2014–2025, có thể thấy ba tầng chiến thuật của Unit 26165:

  1. Tấn công từ xa (remote)
    • Spear-phishing tinh vi, zero-day trên Office/Windows
    • Malware như X-Agent, Sednit, Sofacy
    • Hạ tầng C2 trải khắp thế giới, trả tiền bằng crypto. (Wikipedia)
  2. Tấn công cận tiếp cận (close-access)
    • Đưa đội đặc nhiệm mang thiết bị đến gần mục tiêu – OPCW, khách sạn hội nghị WADA, hạ tầng Wi-Fi ở Thụy Sĩ, Hà Lan… (Department of Justice)
  3. Kết hợp mạng – tâm lý – hoả lực
    • Đánh cắp và rò rỉ thông tin phục vụ thao túng bầu cử (DNC, MacronLeaks)
    • Do thám mục tiêu dân sự/quân sự để hỗ trợ oanh kích (Mariupol, hạ tầng Ukraine) (AP News)

Ở mọi lớp, Unit 26165 đều thể hiện đặc trưng của chiến tranh Nga hiện đại:

“Không có ranh giới giữa chiến tranh và hoà bình; không có ranh giới giữa không gian mạng và thế giới vật lý.”

7. Vị trí của Lukashev trong bức tranh này

Trong khoảnh khắc đặc nhiệm Thái Lan ập vào phòng khách sạn ở Phuket (Phần 1), nếu người đàn ông áo trắng ấy đúng là Aleksey Lukashev, thì:

  • Lần đầu tiên phương Tây (với sự hỗ trợ của Thái Lan) chạm được tay vào một mắt xích sống của Unit 26165 – thay vì chỉ truy đuổi các địa chỉ IP.
  • Lần đầu tiên một người bị cáo buộc can thiệp bầu cử Mỹ 2016, tấn công WADA, liên quan Skripal có thể đứng trước vành móng ngựa ở Washington D.C., Pittsburgh hay The Hague.

Tất cả những gì từng là “hồ sơ cáo trạng” trên giấy – DNC, Bundestag, OPCW, Mariupol – bỗng trở thành câu hỏi thẩm vấn trực tiếp dành cho một con người bằng xương bằng thịt.

Phần 3 : “Cuộc chiến dẫn độ: Thái Lan, Mỹ, Nga và số phận của một sĩ quan GRU” – trong đó ta phân tích:

  • Khung pháp lý dẫn độ Thái–Mỹ
  • Lập luận mà Nga có thể dùng để ngăn dẫn độ
  • Các kịch bản: Lukashev bị đổi lấy tù binh, bị ám sát, hay trở thành “nhân chứng vàng” về chiến tranh mạng Nga.
Post Views: 21